寻找对敌对样本具有鲁棒性的网络结构

纳斯达克 31/05/2021

三个要点
✔️利用神经架构搜索研究对对抗性攻击具有鲁棒性的网络架构
✔️发现一个稳健的架构家族（RobNets）。
✔️提高对白盒和黑盒攻击的鲁棒性，只需少量的参数即可

When NAS Meets Robustness: In Search of Robust Architectures against Adversarial Attacks
written by Minghao Guo, Yuzhe Yang, Rui Xu, Ziwei Liu, Dahua Lin
(Submitted on Nov 2019 (v1), last revised 26 Mar 2020 (this version, v3))
Comments: Accepted by CVPR 2020.
Subjects: Machine Learning (cs.LG); Cryptography and Security (cs.CR); Computer Vision and Pattern Recognition (cs.CV); Machine Learning (stat.ML)

code：

研究概要

最近在对抗性攻击方面的进展揭示了现代DNN的内在脆弱性。此后，人们努力通过使用特殊的学习算法和损失函数来提高DNN的稳健性。在这项工作中，我们从架构的角度研究对对抗性攻击具有鲁棒性的网络架构模式。作为一种搜索网络架构的方法，我们在本研究中使用了神经架构搜索。作为我们对强大的网络架构的调查结果，我们发现

紧密相连的模式提高了稳健性
当需要降低计算复杂度时，在直接连接的边上进行卷积可以很有效
FPS（解决程序的流程）矩阵是衡量一个网络稳健性的良好指标。

事实证明，。在此基础上，作者发现了一个鲁棒性架构家族，即RobNets，它能显著提高对白盒和黑盒攻击的鲁棒性精度，即使参数数量很少。

健全的神经结构搜索

在本节中，我们描述了本文所使用的架构探索和评估方法。我们还解释了作者是如何发现RobNets的。

如何探索建筑

如上所述，单次拍摄的NAS被用来探索架构。

上图中的（a）是一个超级网的示意图。这个超级网包括（b）所示的ResNet和（c）所示的DenseNet。超级网中节点的连接关系由变量$alpha$表示。如果$alpha$为1，则该节点是连接的，如果$alpha$为0，则该节点是不连接的。因此，从超网中提取子网相当于提取$vec{alpha}$，它是$alpha$的集合。

稳健性评价

我们认为针对敌对样本的准确性是衡量网络鲁棒性的一个标准。

RobNets是如何被发现的

作者在上述环境中探讨了健壮网络的架构。

基于细胞的架构分析

在NAS中，为了自动搜索ResNet中的特殊连接，我们为每个单元定义一个架构，称为单元，并搜索这些单元的组合，以加快搜索速度，自动搜索特殊连接，如跳过连接。我们为每个细胞定义一个架构，并寻找架构的组合。在本节中，我们展示了基于细胞的搜索结果，其中架构是在不同的细胞之间共享的。

正如你在(a)中所看到的，通过对抗性训练对子网进行微调，对抗性样本的准确度要高于使用从超网中提取的子网，因为它是原样的。因此，最好通过对抗性训练对子网进行微调。从图（b）中可以看出，大多数架构都实现了相对较高的鲁棒性，但也有很多没有实现。因此，作者调查了具有高鲁棒性的网络是否有一个共同特征。

对于1000个提取的架构中的前300个和后300个，作者将前300个标为1，后300个标为-1。并使用t-SNE对$alpha$的低维嵌入进行可视化。结果如上图（a）所示。可以看出，$alpha$对网络的稳健性有很大影响，因为在前300名和后300名之间可以看到一个模式。换句话说，它清楚地表明，网络的结构会影响稳健性。

基于这一结果，作者建立了一个分类器，使用架构的参数作为输入，预测路径是否健壮，以研究哪些路径在健壮网络中是重要的。在分类器的权重中，对应于大数值的路径被认为是重要的。结果如上图（b）所示。几乎所有的权重都是正的，表明架构的密度和对敌对样本的准确性之间有很强的关联性。

为了更详细地研究架构的密度与对抗性样本的准确性之间的关系，我们进行了相关的分析。我们将架构的密度$D$定义为相对于架构中所有可能的连接边总数的连接边数量，$$D = \frac{|E_{connected}|}{|E|} = \frac{\Sigma_{i,j,k}\alpha^{(i,j)}_{k}}{|E|}$$。

相关性分析的结果如下。

我们可以看到，随着架构密度的增加，针对对抗性样本的准确性也趋于增加。因此，我们认为，密集连接的架构可以提高网络的稳健性。

计算资源有限时的网络结构

现有的研究表明，增加网络中的参数数量可以提高其稳健性。因此，作者还研究了参数数量固定时架构的稳健性。

观察上图中的（a），我们可以看到，随着卷积运算数量的增加，对抗性的准确性也在稳步提高。另外，我们可以看到，直接边缘卷积比跳过边缘卷积对对抗性准确性的贡献更大。因此，我们测试了直接边缘卷积对三种类型的计算机资源的影响，有大有小。结果如上图（b）所示。在这个结果中，我们可以看到，当计算机资源较少（小）时，通过直接边缘卷积的效果特别高。

从以上可以看出，在计算机资源有限的情况下，将卷积运算加入到直接边缘中，可以有效提高模型的稳健性。

对更大搜索空间的调查

到此为止，每个细胞都有一个共同的结构。我们研究了如果我们放宽这一限制，允许网络中的每个单元有不同的结构，会发生什么。我们还调查了在这种无细胞环境下，网络的鲁棒性指标会是什么。

在无细胞环境下，搜索空间的复杂性会爆炸。为了解决这个问题，作者提出了特征流引导搜索。它不关注网络的最终输出，而是考虑网络的中间单元之间的特征流动。具体来说，计算每个单元之间的Gram矩阵（结果称为FSP矩阵），对于网络的每个单元，计算敌方和正常样本的FSP矩阵之间的距离。

下图绘制了每个单元的FSP矩阵的距离（FSP矩阵损失）与正常数据上的准确性和对抗性样本上的准确性之间的关系。可以看出，每个单元的FSP矩阵的距离与正常数据上的准确性和敌对样本上的准确性之间的差异呈正相关。因此，如果FSP Matrics的损失很高，那么敌对样本的准确性就很低，所以在微调从超网中提取的子网之前，我们应该计算FSP Matrics的损失，并丢弃超过阈值的单元。在对从超网中提取的子网络进行微调之前，我们计算FSP Matrics损失并截断高于阈值的子网络，这样我们就可以通过截断不太可能产生结果的子网络来处理搜索空间的增加。

实验

我们将上述方法得到的稳健架构与其他著名的架构进行比较。我们假设是白盒攻击。我们用CIFAR-10作为数据集，用PGD生成对抗性样本进行对抗性学习。为了进行比较，我们对每个模型进行了对抗性训练，并与各种攻击方法产生的对抗性样本进行了准确性比较。结果显示在下面的表格中。

RobNet后面是参数的数量：小、中、大。结果显示，RobNet系列模型在几乎所有的攻击方法上都优于其他架构，而且在正常数据上也保持了相对较高的准确性。特别是，RobNet系列模型在PGD产生的样本上的表现优于其他所有架构，众所周知PGD是最强的攻击方法，RobNet仅仅通过改变架构就提高了高达5.1%的准确性。

从这个表格中也可以看出FSP引导性搜索的效果。在表格的最下面一行，RobNet-free代表了在无细胞条件下探索的架构，尽管RobNet-free的参数比RobNet-large-v2少6倍，但在所有攻击中，RobNet-free在对抗性样本的准确度上都优于RobNet-large-v2。尽管RobNet-free的参数比RobNet-large-v2少六倍，但在所有攻击中，RobNet-free在敌对样本的准确性上都优于RobNet-large-v2，这证实了FSP引导搜索的有效性。

黑匣子攻击案例的结果如下所示。结果表明，即使在黑盒攻击的情况下，RobNet对对抗性样本的准确性更高。